N° 3, Diciembre 2003


Autodeterminación informativa y leyes sobre protección de datos

3. Las leyes de protección de datos

Las primeras leyes sobre protección de las personas frente al tratamiento automatizado de sus datos se remontan a la primera mitad la década de los setenta; hoy, todos los Estados miembros de la Unión Europea disponen de ellas, son varios los Estados americanos que también las han adoptado, o bien se encuentran en proceso de hacerlo, existen asimismo países en Asía y Oceanía que cuentan con ellas. En fin, se trata de un fenómeno normativo que progresivamente abraza las diversas latitudes del globo, y cuyo desarrollo está irremediablemente asociado a la creciente capacidad de almacenamiento y recuperación de la información contenida en el equipamiento informático, así como al extensivo uso de la informática y las telecomunicaciones.

Antes de examinar los diversos mecanismos de control previstos en el derecho comparado y las modalidades que asumen en los diversos países, parece necesario describir siquiera someramente los rasgos fundamentales de la legislación en que se inserta cada uno de ellos, oportunidad en que podremos apreciar la evolución experimentada por las leyes sobre protección de las personas frente al tratamiento de datos personales y, particularmente, la progresiva diversificación de los medios de que éstas se han prevalido para efectos de asegurarse del debido cumplimiento de sus previsiones.

En un primer período, cuando el número y costos asociados al funcionamiento de equipamiento computacional suponían su empleo sólo por grandes reparticiones públicas, tiene lugar la promulgación de la primera legislación en la materia. Así, en 1970 se promulga la Datenschutz, ley sobre tratamiento de datos personales del Land de Hesse, en la República Federal de Alemania, mediante la cual se pretendía brindar protección a las personas naturales ante la amenaza que representaba el tratamiento informatizado de datos nominativos por las autoridades y administraciones públicas del Estado, los municipios y entidades locales rurales, así como las demás personas jurídicas de derecho público y agrupaciones sujetas a la tutela estatal. A efectos de asegurar el cumplimiento de sus previsiones, la ley creaba el Comisario de Protección de Datos, al cual garantizaba independencia para el desempeño de sus funciones, cuales eran velar por la observancia de los preceptos de la propia ley y cuantos otros hicieren referencia al trato de los datos de los ciudadanos.

Posteriormente, cuando ya se contaba con una serie de disposiciones federales y territoriales que regulaban el tema, con pretensiones de generalidad o cierta especificidad, se dicta la Bundesdatenschutzgesetz, Ley Federal de Protección de Datos de la República Federal Alemana de 1977, en la cual se establece una normativa general de principios susceptible de ser aplicados subsidiariamente a otros ámbitos o contextos, lo cual explica que acuda con frecuencia al empleo de conceptos jurídicos indeterminados y se cuide de no entrometerse en competencias que excedan las del gobierno federal.

La Ley Federal de Protección de Datos de 1977 contempla las disposiciones generales, cuyo objeto en evitar el detrimento de intereses dignos de protección de las personas naturales afectadas por el tratamiento automatizado de datos que le conciernen efectuados por el sector público y privado; entre sus disposiciones se observan diversas innovaciones, posteriormente acogidas por otras legislaciones, tales como el "comisario de protección de datos", la concesión a los titulares de datos del "derecho de bloqueo", y la tipificación de ilícitos penales e infraccionales asociados al tratamiento de datos. Además, impone a los entes que procesen datos la adopción de medidas técnicas y de organización necesarias para garantizar la observancia de la ley, las que precisa en anexo a la misma.

La ley, que establece regímenes jurídicos paralelos para el tratamiento de datos por el sector público y privado, fija también un sistema de control que atiende a tal distingo: respecto de los organismos públicos, impone a las diversas entidades de la administración federal la obligación de velar por el cumplimiento de la legislación y dictar disposiciones administrativas que regulen la aplicación de la ley en su respectivo ámbito de competencias y, a su vez, contempla una autoridad de control llamada a velar por la observancia de la misma y otras disposiciones aplicables a la protección de datos: el Comisario Federal de Protección de Datos.

En cambio, en cuanto al tratamiento de datos por entes no públicos, la ley acude al denominado comisario de protección de datos y las autoridades de tutela estatal. El primero debe ser nombrado por cada entidad que elabora datos personales y depende de ella, aun cuando no queda sujeto a sus instrucciones en el desempeño de su cometido, cual es velar por la observancia de la legislación relativa a la protección de datos; en tanto que la autoridad de tutela es fijada por los gobiernos de los estados y le compete velar por la observancia de la Ley de Datos y demás disposiciones sobre protección de datos previstas dentro del ámbito de aplicación a los privados, aunque sólo a requerimiento del afectado.

También responde a este período la Data Lag 1973/289, por la cual Suecia imponía un sistema de registro abierto para publicitar los bancos de datos personales relativo a personas físicas realizado por medios automatizados, los que debían ser previamente autorizados para funcionar, asociado a una autoridad de control la Datainspektionen, expresión del Ombusman proyectado al tratamiento de datos que vela por el respeto de la ley, con facultades inspectoras, normativas y procesales para requerir la aplicación judicial de sanciones.(32) 

Como su homónima alemana, la Data Lag 1973/289 contemplaba un extenso catálogo de ilícitos sancionados penalmente con penas alternativas de multa y privativas de libertad; mientras, que tratándose del titular de los datos registrados, brindaba un escaso reconocimiento de derechos.

El férreo control previsto en la normativa sueca, por lo demás posteriormente asumido por la mayor parte de las experiencias del derecho comparado, le ha valido a Suecia el calificativo de modelo de heterocontrol. Con todo, algunas de sus trabas, tal como aquellas concernientes a la autorización previa al funcionamiento de bases de datos han debido ser mitigadas, mediante la adopción de un sistema de notificación e inscripción registral, siempre de responsabilidad de la autoridad de control nacional.

Esta primera legislación se caracterizó por centrar la protección en una reglamentación de las bases de datos, imponiendo ciertas restricciones a su constitución, tales como sistemas de autorización, previa inspección, etc. Además, en ella se contemplan entidades de naturaleza administrativa encargadas de velar por el cumplimiento de la normativa, con facultades de fiscalización tanto a la época de constitución de la base, como de durante su operación.

Los progresos habidos en la informática y la creciente capacidad de almacenamiento de información, dieron lugar a una segunda generación de leyes, que fijaron menos trabas para la constitución de bases de datos, pero, en contrapartida, confirieron un abanico de facultades al titular de los datos a fin de velar por aquellos que le conciernen: información, acceso, rectificación y cancelación. Además, en ellas existe una preocupación adicional por brindar garantía ante el tratamiento de los denominados "datos sensibles", aquellos que por su naturaleza suponen un riesgo en su tratamiento, ya porque lesionan la intimidad de la persona, o bien porque le exponen a prácticas discriminatorias. Es el caso de la Privacy Act de Estados Unidos y la Ley relativa a la Informática y Libertades de Francia.

La exposición de motivos de la Privacy Act de 1974 manifiesta que su objetivo es proteger la privacidad de los individuos identificados en sistemas de información llevados por entes y órganos federales por excepción alcanza al sector privado, cuando se encuentra vinculado contractualmente al público para el tratamiento de datos por su encargo , mediante la regulación de la captación, conservación, uso y difusión de información por éstos, prescindiendo del soporte en que se contiene, de modo que la ley resulta aplicable sea que las operaciones de tratamiento se realicen por medios informáticos o manuales.

La ley asegura que la revelación de los datos la Privacy Act habla de registros en este caso por el órgano de la administración federal podrá tener lugar sólo mediando petición o consentimiento del individuo a quien conciernen, salvo excepciones fundadas en necesidad de orden público. Se reconoce al titular derecho de acceso, que incluye el detalle de las revelaciones del registro. Asimismo, el órgano debe asegurar el acceso del individuo a los registros que le conciernen, así como una copia de ellos y permitirle solicitar la modificación de ellos, en su caso. Igualmente, ha de franquear al individuo concernido en el registro la revisión administrativa de la negativa de rectificación e instruirle de las disposiciones aplicables a la revisión judicial de tal decisión.

Por su parte, la Loi n.º 78-17 du janvier, relative à l informatique, aux fichiers et aux libertés, adoptada en Francia en 1978, como su nombre ya lo anticipa, ha procurado garantizar el empleo de la informática al servicio de los ciudadanos, de manera que ella no importe un atentado a la identidad humana ni a los derechos humanos, ni a la vida privada ni a las libertades individuales o públicas, para tales fines el texto originario reglamentaba el tratamiento automatizado de datos personales referidos a personas naturales realizado por personas naturales o jurídicas de derecho público y privado, si bien admite la aplicación parcial de sus disposiciones al tratamiento mecanográfico de datos nominativos.

La Ley 78-17 contempla una extensa regulación de los derechos que se confiere a la persona concernida por los datos: el ejercicio del derecho de acceso queda condicionado al abono de una tasa fijada reglamentariamente, cuyo importe es devuelto en caso de modificación del registro, además se concreta en el suministro de información inteligible para el afectado; en su caso, el titular podrá ejercer los derechos de rectificación y cancelación y, de negarse el organismo tratante, recaerá la carga de la prueba en éste. Con todo, la ley impone al organismo la corrección de los registros de oficio, así como la notificación a terceros a quienes se hubieren transmitido los datos modificados. La ley impone el ejercicio del derecho de acceso por medios indirecto en dos hipótesis: la primera, tratándose de datos médicos, deberá procederse por mediación de un profesional de la medicina y, en el caso de datos que afectaren la seguridad del Estado, defensa o seguridad públicas, se procede a través de la Comisión. Además, la ley innova al prohibir la adopción de decisiones judicial, administrativa o privada respecto de las personas fundadas en un tratamiento automatizado de los datos que le conciernen y, más aún, confiere derecho a toda persona para conocer e impugnar las informaciones y lógicas de tratamiento de datos cuyos resultados se invocaren en su contra.

La ley establece un verdadero catálogo con infracciones y sanciones de naturaleza penal, figuras que son sancionadas con penas privativas de libertad y multas, acumulativa o alternativamente según los casos; además, se faculta al tribunal para imponer la publicación del fallo.

A diferencia de la legislación estadounidense, y tal cual sucede con la legislación sueca y alemana, la ley francesa prevé un órgano de control, si bien representativo e interpoderes, la Commission Nationale de l'Informatique et des Libertés, encargado de velar por su aplicación, recibir las reclamaciones de los afectados y dotado de potestad reglamentaria, cuyo ejercicio ha garantizado la perdurabilidad normativa.(33) 

En cierta forma estas legislaciones representaron un giro en la protección, desde que pasaron a centrar la misma de la reglamentación de las bases de datos a los datos en sí, diseñando regímenes jurídicos diferenciados según su naturaleza, amén de conferir mayores derechos a los titulares de datos para velar por sí respecto de la legalidad en el tratamiento de aquellos que les conciernen.

Ya ante el uso generalizado de equipos computacionales y la insuficiencia de una garantía limitada a los datos sensibles, desde que la telemática esto es, la transmisión de información automatizada mediante el empleo de medios de telecomunicación incorpora prácticas de recuperación y cruce de información sin precedentes, con el consiguiente riesgo de menoscabo para los derechos fundamentales, la protección de los datos personales se extiende a la dinámica de uso o funcionalidades asociadas a ellos, con especial énfasis en precaver los riesgos involucrados en la transmisión internacional de datos personales.

Responde a esta orientación el Convenio 108 adoptado por la Comunidad Económica Europea en 1981, primer instrumento internacional que procura reglar el fenómeno del tratamiento automatizado de datos correspondientes a personas naturales desde una perspectiva que trasciende a la legislación interna y cuyo contenido informará diversas legislaciones europeas originadas durante la década de los ochenta, con miras a disponer de una normativa comunitaria para hacer frente a una previsible proliferación de leyes nacionales que en su día hicieran difícil su armonización.(34)

El ámbito de aplicación del Convenio era comprensivo del procesamiento de datos desde su almacenamiento hasta borrado inclusive verificado en el sector público y privado, con tal que él se refiriese a personas naturales y fuese realizado por medios informáticos; sin embargo, el Convenio admitía que los Estados miembros facultativamente extendiesen sus disposiciones a agrupaciones de personas con o sin personalidad jurídica, así como a los datos personales que fueren objeto de tratamiento no automatizado.

El Convenio 108 también se ocupa del flujo internacional de datos de carácter personal, abogando por disponer de una "protección equivalente" en la legislación aplicable a quienes participaban de la transmisión, a efectos de evitar que ellas dieran lugar a soslayar la aplicación de la normativa de los Estados partes.

Especial atención presta el Convenio 108 al auxilio mutuo que impone a los Estados partes, para cuyos efectos supone la existencia de una o varias autoridades en el derecho interno de cada uno de ellos, las que encausan la cooperación institucional entre las partes, así como la asistencia a los interesados residentes en el extranjero en el ejercicio de sus derechos.

Los Estados partes del Convenio se obligaban a adoptar en su derecho interno las medidas necesarias para dar efecto a los principios fundamentales de protección de datos a que adscribía el instrumento. Así sucedió con Reino Unido y España, según apreciaremos más adelante.

Por su parte, la "Recomendación relativa a las directrices aplicables a la protección de la vida privada y a los flujos transfronteras de datos personales", adoptada por el Consejo de Ministros de la Organización de Cooperación y Desarrollo Económicos (OCDE) el 23 de septiembre de 1980, también formula proposiciones que en lo sustancial establecen principios a que debe sujetarse el tratamiento de datos susceptibles de ser adoptado en el derecho interno, siendo una buena parte de ellas coincidentes con las contempladas en el Convenio 108, puesto que fueron unos mismos los especialistas que concurrieron a la redacción de uno y otro documento. E, igualmente, es el caso de los "Principios rectores para la reglamentación de los ficheros computarizados de datos personales", adoptados tardíamente por la Asamblea General de la Naciones Unidas en su resolución 45/95, de 14 de diciembre de 1990, que con el propósito de facilitar su incorporación en la normativa interna de cada Estado, constituyen directrices generales y flexibles, para cuya elaboración se han tenido presente las fijadas por la OCDE.(35)

La impronta del Convenio 108 recae en la Data Protection Act de 1984 adoptada por el Reino Unido tras una extensa reflexión legislativa, que se remonta a las postrimerías de la década del sesenta; sucesivas comisiones estudiaron la proyección de la privacy y el tratamiento de los datos personales incorporados en sistemas informáticos, así como las diversas medidas aplicables a efectos de controlar el cumplimiento de la legislación que se adoptara en la materia, el resultado de algunos de tales informes fue posteriormente acogido por la normativa con que la Comunidad Europea ha emprendido la regulación del tema, así por ejemplo el Lindop Report anticipó buenas parte de las medidas promovidas por la Directiva 95/45/CE.(36)

La Data Protection Act 1984 constituye una legislación compleja, en la cual se conjugan disposiciones generales, con normas relativas a la inscripción y vigilancia de los "usuarios de datos y de las oficinas de servicios informáticos" denominación con que se califica a los responsables de base o registro de datos , derechos de las personas concernidas, un atiborrado sistema de excepciones y régimen de recursos; a lo anterior se adicionan diversos anexos: sobre los principios aplicables al tratamiento y su interpretación; sobre el procedimiento de recursos; y, sobre la entrada y registro de lugares cerrados.

En síntesis, la demorada legislación inglesa de 1984 sobre tratamiento de datos personales, extiende sus previsiones al sector público y privado, aún cuando se limita a los datos objeto de un procesamiento automatizado. Ahora bien, en cuanto a los mecanismos de control, si bien contempla la adopción de códigos de conducta y el recurso a reglamentación especial, ellos se engarzan con las funciones de una autoridad de control, el Registrer, a quien confía el registro de los bancos de datos, el control sobre el cumplimiento de la normativa, la recepción de afectados, la asistencia a los interesados y la aplicación de medidas cautelares, a lo cual adiciona un Data Protection Tribunal, que obra como tribunal de reclamación respecto de las decisiones tomadas por el primero, sin perjuicio de los recursos ante los tribunales ordinarios. Para efectos de aplicación del Convenio 108, el Registrer hace las veces de la entidad que cursa la cooperación internacional.

Es también la situación de la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD), adoptada por España en 1992, que constituiría la piedra angular sobre la cual se diseñó nuestra Ley 19.628.(37)

Si bien la Constitución Española de 1978 asegura en su artículo 18 inciso cuarto que "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos", esta temprana declaración constitucional no se concretó en la adopción de una pronta legislación sobre protección de datos personales, pese a que diversos proyectos se sucedieron a partir de 1984 para reglar la materia.(38)

No será sino hasta 1992 que España se dotará de un cuerpo normativo que regle el tratamiento de datos personales, la antes mencionada LORTAD.(39) Ya antes, había ratificado el Convenio 108, pese a lo cual había retardado ostensiblemente la transposición de sus principios en el derecho interno, proceso acelerado por los Acuerdos de Schengen de 1985 sobre supresión gradual de controles en las fronteras comunes, que contempla el funcionamiento del llamado Sistema de Información Schengen, complejo y eficaz sistema de tratamiento de datos personales de que se sirve Europa, especialmente para fines policiales y de seguridad, y que supone que todos los Estados partícipes cuenten con una normativa interna que brinde un nivel de protección cuando menos igual al previsto en el Convenio 108.(40) 

P)ues bien, atendida la demora con que el país peninsular emprendió la adopción de una ley en la materia, ha podido beneficiarse de la experiencia legislativa extranjera, a la par de servirse de las propuestas preparativas de la Directiva 95/46/CE, si bien es el Convenio 108 el que informa una buena parte de las opciones adoptadas por el legislador, quien emprende la transposición del mismo al derecho interno.(41) 

La LORTAD extendió su ámbito de aplicación a los ficheros automatizados, tanto de sectores público y privado, con una serie de excepciones que se encarga de precisar, y circunscribía su protección a los datos relativos a personas físicas. Se encargaba de enunciar los principios que informan la protección de los datos y los derechos que se conferían a los afectados, aspectos en los cuales no difería sustancialmente del Convenio.

A efectos de velar por el cumplimiento de la normativa, la LORTAD encomienda el control de su aplicación a un ente de derecho público independiente, al que denomina Agencia de Protección de Datos, a cuyo frente sitúa un Director, asesorado por un Consejo consultivo, órgano colegiado y compuestos por representantes institucionales de diversos poderes del Estado, el sector privado, las organizaciones de usuarios y consumidores, entre otros miembros; con todo, se admite la existencia de entidades de control creadas o gestionadas por las comunidades autónomas.(42)

La LORTAD contenía previsiones relativas a la transmisión internacional de los datos, punto en el cual trasponía el Convenio 108, optando por exigir que el país de destino proporcione un nivel de protección equivalente al español, aunque admitiendo la autorización de la Agencia de Protección de Datos cuando tal sistema no exista pero se ofrezcan garantías suficientes, junto con otras fundadas excepciones. Es también la mencionada Agencia la entidad encargada de gestionar la asistencia mutua exigible en virtud de la ratificación del Convenio 108 por España.

También se aprecia la impronta del Convenio 108 en la Ley de Datos de la República Federal Alemana de 1990, que cuenta con un largo trabajo preparatorio que trae por causa la declaración de inconstitucionalidad de la Ley de Censo de Población de 1982, lo que le ha conducido a relevar el rol del consentimiento del afectado en la materia.(43) Con todo, la ley no ha instaurado un sistema nuevo, antes bien responde a la misma sistemática de la Ley de Datos de 1977, la cual perfecciona o desenvuelve.(44)

La Ley de Datos de 1990 amplía el ámbito objetivo de tutela, al aplicarse tanto frente al tratamiento informatizado de los datos como al manual; confiere carácter irrenunciable a los derechos del afectado, para cuyo resguardo impone obligaciones a las entidades tratantes en relación con el Comisario Federal de Protección de Datos; establece responsabilidad objetiva, sin culpa, solidaria y con un límite indemnizatorio, frente a los perjuicios ocasionados por la elaboración automatizada de datos por organismos públicos; en cambio, cuando tal daño proviene de la elaboración efectuada por organismos no públicos, altera la carga de la prueba ante la controversia respecto del nexo causal de los perjuicios.

En cuanto a los medios de control, la ley conserva el Comisario Federal de Protección de Datos, como autoridad llamada a velar por la observancia de la misma y otras disposiciones aplicables a la protección de datos procesados por organismos públicos, regulación que en lo sustancial se ajusta a la precedente, con alguna precisión respecto de su ámbito de competencia y ejercicio de la misma. En cambio, tratándose del tratamiento de datos por los organismos no públicos, la ley introduce importantes enmiendas respecto de la autoridad de tutela, a la cual se permite ejercer sus facultades de oficio y adoptar medidas correctivas ante las irregularidades técnicas u organizativas descubiertas, las que pueden llegar inclusive a exigir el despido del comisario de protección de datos designado.

Sin embargo, con el transcurso del tiempo la eficacia del Convenio 108 se fue agotando, pues hasta entrada la década de los noventa no hubo nuevas ratificaciones y sólo se adoptaron tres nuevas leyes nacionales en la materia.(45) Por otro lado, la sola ratificación no mostraba eficacia alguna, tal como sucedía con España que pese a haber ratificado en 1984 no procuró trasponer las normas del Convenio a su legislación interna sino hasta 1992. Estimando pues la Comisión que el Convenio resultaba poco coactivo, habiéndose dilucidado las dudas por lo concerniente a la competencia de la Comunidad en la materia y visualizándose la concreción de un mercado interior con el consiguiente incremento en la circulación de los datos personales en su seno, la Comisión asumió la elaboración de una Directiva Comunitaria al respecto.(46)

______________________________

32

La Inspección de Datos junto con controlar el cumplimiento de la Ley de Datos, supervisa a las autoridades, compañías, organizaciones e individuos respecto de la Ley de Recuperación de Deudas de 1974, que reglamenta el tratamiento de datos con motivo de las acciones destinadas a obtener el cumplimiento de obligaciones de dinero, y la Ley de Informaciones Crediticias de 1973, que regula el tratamiento de datos por agencias de calificación de crédito. No se incluye el examen de éstas leyes por exceder los objetivos previstos para la tesis. 
[volver]

33

Para una brevísima reseña comparativa de la legislación francesa, cf. BIBENT, Michel, "Informática, Personas y Libertades. El proyecto de ley español y la experiencia francesa", en Encuentros sobre Informática y Derecho, Instituto de Informática Jurídica, Universidad Pontificia Comillas, Madrid, 1992 – 1993, pp. 53 – 62.
El texto de la ley permaneció inalterable por más de una década, siendo modificado posteriormente en diversas ocasiones a fin de trasponer a las disposiciones de derecho interno la normativa comunitaria, esto es, el Convenio 108 y la Directiva 96/45/CE. Para efectos de esta revisión hemos cotejado el texto original de la ley con el actualmente vigente consolidado por la Commission Nationale de l'Informatique et des Libertés de fecha 16 de mayo de 2002.[volver]

34

La necesidad de disponer de una normativa comunitaria en la materia venía siendo sostenida por el Parlamento Europeo desde 1973, cuando se instó al Consejo a explicar si contaba con alguna política al respecto y en 1974 el mismo Parlamento elaboró un estudio que proponía el diseño de una Directiva en la materia.
Diversas comunicaciones dirigió el Parlamento Europeo a la Comisión, sin resultados satisfactorios, hasta que en 1979 el Parlamento adopta una Resolución sobre la materia y una serie de Recomendaciones dirigidas ambas a los restantes órganos comunitarios, en las cuales llamaba la atención sobre una serie de circunstancias que hacían patente la necesidad de que la Comisión elaborase "una propuesta de Directiva tendente a armonizar las legislaciones en materia de protección de datos a un nivel que ofrezca el máximo de garantías a los ciudadanos de la Comunidad" y delineaba los rasgos fundamentales que debían contemplarse en tal normativa, su aplicación a ficheros manuales y automatizados, referentes a datos de personas naturales o jurídicas, e inclusive de simples agrupaciones de personas, con un control previo al funcionamiento de las bases de datos, más aún define y perfila el estatuto de una autoridad de control de protección de datos, y anticipa algunos criterios para las transferencias internacionales de datos. Una buena parte de las propuestas cristalizarán años más tarde en la Directiva 95/46/CE. Cf. Resolución de 8 de mayo de 1979, del Parlamento Europeo, sobre la protección de los derechos de las personas ante el desarrollo de los progresos técnicos en el ámbito de la informática (DOC número 140, de 5 de junio) y Recomendaciones del Parlamento a la Comisión y al Consejo, de conformidad con el parágrafo 10 de la propuesta de Resolución referente a los principios en los que deberán inspirarse las normas comunitarias en materia de protección de los derechos de la persona ante el desarrollo de los progresos técnicos en el ámbito de la informática.
Por su parte, la Comisión no sostuvo la idea de una Directiva, por estimar que la evolución legislativa aún no estaba madura para emprender tal desafío, a lo cual se agregaban ciertas dudas y reservas en cuanto a la competencia de la Comunidad para intervenir en este ámbito. Cf. HEREDERO HIGUERAS, Manuel. "La Directiva Comunitaria de Protección de Datos de Carácter Personal", Editorial Aranzadi, Pamplona, 1997, p. 21 – 23.
Antes bien, la Comisión recomendó la suscripción por los Estados miembros del Convenio 108, el cual estimaba suficiente para introducir un nivel de protección uniforme en cuanto a la protección de los datos. Cf. Recomendación de la Comisión 81/679/CEE, de 29 de julio de 1981 relativa al Convenio del Consejo de Europa sobre protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
[volver]

35

Para una sucinta reseña de ambos documentos, cf. igualmente EKMEKDJIAN, Miguel Angel y PIZZOLO, Calogero, op. cit., pp. 42 – 47, 59 – 62.
Los principios fueron adoptados por Naciones Unidas recién en 1990, no obstante haber reparado ya en la Conferencia de Teherán de 1968 en los riesgos que los medios informáticos estaban representando para la democracia. Sin embargo, tal alerta no concitó respaldo durante las décadas de los setenta y ochenta por parte de los Estados correspondientes al tercer mundo, al bloque de países socialistas y las dictaduras latinoamericanas; sólo los países desarrollados alentaron los procesos normativos y, a partir de la década de los noventa, se han sumado a ellos otros países, de ahí el retraso de Naciones Unidas en la adopción de recomendaciones al respecto.
[volver]

36

Para una revisión del proceso que decanto con la Data Protection Act de 1984, vid. LOSANO, Mario, "Los orígenes del ‘Data Protection Act’ inglesa de 1984", en Cuadernos y Debates, Centro de Estudios Constitucionales, Madrid, 1989, núm. 21, pp. 9 – 60. Puede consultarse igualmente EKMEKDJIAN, Miguel Angel y PIZZOLO, Calogero, op. cit., pp. 12 – 21, 35 – 37.
[volver]

37

Para una revisión sobre el proceso histórico de la legislación sobre protección de datos personales en España, vid. SUÑÉ LLINÁS, Emilio, "Tratado...".
[volver]

38

Sobre las primeras iniciativas parlamentarias en la materia, cf. Suñé Llinás, Emilio, "Tratado...", pp. 73 y ss.
[volver]

39

Del 29 de Octubre de 1992, publicada en el BOE 31de Octubre de 1992, núm. 262. Para una revisión colectiva de la LORTAD, Cf. "Informática y Derecho", Director Valentín Carrascosa. Cuadernos elaborados por la UNED, Centro Regional de Extremadura. Ed. Aranzadi., número 6 – 7, 1994. Entre nosotros, para una revisión de la primera legislación española en la materia, cf. Fernández Segado, Francisco, "El régimen jurídico del tratamiento automatizado de los datos de carácter personal en España", en Ius et Praxis, Universidad de Talca, Facultad de Ciencias Jurídicas y Sociales, Año 6 N°2, 2000, pp. 33 – 69.
[volver]

40

SUÑÉ LLINÁS, Emilio, "Tratado...", pp. 84 y ss. En el mismo sentido, GARCÍA AGUILAR, Nicolás, "Origen y significado del Convenio 108 del Consejo de Europa para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal", en Revista Internauta de Práctica Jurídica, Núm. 2 (mayo – agosto, 1999). Para una revisión del marco jurídico del tratamiento de datos para fines policiales a nivel interno y comunitario, con especial énfasis en el Sistema de Información Schengen y el Convenio Europol, Cf. MARTÍNEZ MARTÍNEZ, Ricard, op. cit., en especial pp. 277 – 319.
Con todo, ante la ausencia de legislación interna, el Tribunal Constitucional, si bien se resistía la aplicación directa del Convenio 108, apuntaba a admitir su empleo para efectos de integración normativa, ante los vacíos que manifestaba la legislación interna. Tribunal Constitucional de España, sentencia 254/1993, de 20 de julio de 1993.
[volver]

41

Cf. HEREDERO HIGUERAS, Manuel, "La transposición de la Directiva 95/46/CE en el Derecho positivo español. Una segunda oportunidad", en Encuentros sobre Informática y Derecho, Instituto de Informática Jurídica, Universidad Pontificia Comillas, Madrid, 1996 – 1997, p. 133, quien resalta también la influencia que tuvo en las disposiciones de la LORTAD las leyes de datos personales de Alemania de 1990 y Francia de 1978.
[volver]

42

A la fecha, sólo la Comunidad Autónoma de Madrid dispone de una autoridad de control propia, la Agencia de Protección de Datos de la Comunidad de Madrid.
[volver]

43 En este sentido, HEREDERO HIGUERAS, Manuel, "Panorama General de la Legislación Mundial sobre Protección de Datos", en Encuentros sobre Informática y Derecho, Instituto de Informática Jurídica, Universidad Pontificia Comillas, Madrid, 1992 – 1993, p. 20.
[volver]
44

Un breve comentario, que precede a una traducción parcial del texto de la ley del mismo autor, Cf. Heredero Higueras, Manuel, "La nueva ley alemana federal de protección de datos", en Boletín de Información, número 1630, año XLVI, 25 de marzo de 1992, Ministerio de Justicia, editado por Secretaría General Técnica, Centro de Publicaciones, Madrid, pp. 125 – 146.
[volver]

45

La carencia de un nivel equivalente de protección de los datos personales entre los países europeos venía generando inconvenientes para la aplicación de proyectos que supusieran la trasferencia internacional de tales datos, así para SOSENET (Social Security Network Programme) que pretendía la coordinación de los servicios de seguridad social europeos, cf. Alonso Blas, Diana, "El futuro de la protección de datos a nivel europeo", en Encuentros sobre Informática y Derecho, Instituto de Informática Jurídica, Universidad Pontificia Comillas, Madrid, 1995 – 1996, pp. 163 – 176.
[volver]

46

HEREDERO HIGUERAS, Manuel. "La Directiva Comunitaria...", op. cit., pp. 23 – 30, quien destaca que la propuesta de Directiva inicialmente no se concebía tanto como un texto destinado a brindar protección a las personas frente al tratamiento de sus datos, como uno llamado a aproximar las legislaciones de los países integrantes de la comunidad con miras a obtener un nivel de protección "equivalente" que asegurase el desarrollo de un creciente intercambio de información entre los Estados miembros previsible para el funcionamiento del mercado interior.
[volver]